如何衡量企业安全的效果

2016-05-27 19,530

在老池的粉丝群做了次分享,谈了谈几个基本的问题,分享到这里。

企业该如何做安全?

在早些年,我最早在阿里做安全的时候,遇到的最大的挑战,就是讲不清楚安全的价值。我想这可能依然是今天大多数CSO所面临的难题。

安全这个东西很微妙,不像业务可以用销售额和用户数来衡量,也不像运维可以用稳定性指标(比如故障数)来衡量,也不像研发可以用bug数、服务器台数(体现成本和性能)、扩展性、专利等来衡量。

业务上的安全还可以和业务指标挂钩,比如金融、支付业务,可以看资损率,电商业务,可以看诈骗数,游戏业务,也可以看诈骗、资损、外挂等指标,都是量化的。

但是基础安全攻防的效果,包括企业内部数据安全的效果,却很难一刀切的体现出来。(出于方便,下文讨论的企业安全都指企业数据安全、基础攻防安全)。因为数据安全、基础安全面临的问题往往是事件性的,很可能你什么都不做,但一年都不出问题;也可能你花了很大力气,花了很多钱,却还是问题频出。

所以我们很难用单一的事件性指标来衡量数据安全做的好还是不好,这也是很多安全行业的从业者腰杆不够硬的原因,因为他们也很难跟老板讲明白为什么花了钱了,还是不敢保证不出事,到最后就变成了拼运气。

这也导致了安全行业的两个陋习,一是有问题不敢让老板知道,很多公司做完渗透测试后报告就锁到抽屉里去了,还有一些外部报告的事件,有的很严重,但只要老板不知道,就偷偷处理掉,粉饰太平;二是很多安全厂商都只对卖出去的设备功能负责,不对效果负责,因为他们实际上也负不了责,所以到最后就变成了没有人负责。但比较坑的是很多客户以为买了设备和服务就不会出事了,就可以给老板交差了。这其实是两码事,其实已经没有人对安全负责了,大家都在赌运气。

黑暗森林法则很适用于企业安全:一旦暴露在公众的视野中,黑客就会对你很感兴趣,就会找出来你的很多问题。从以往我们的经验来看,在世界杯期间,彩票网站受攻击很厉害;在热钱涌入P2P小贷行业期间,整个P2P小贷行业受攻击非常频繁;现在热钱涌入在线直播行业,所以可以预计,这个行业很快就会经历黑客的洗礼。

你很难知道黑客会在什么时候光顾你。对于黑暗森林法则,低调可以保护你一时,但是无法永远保护你,因为业务要发展,必然会暴露在公众的眼中。

如何衡量企业安全的效果?

所以让我们回到最根本的问题上来,到底要如何衡量企业安全(数据安全、基础攻防)的效果?

企业数据安全最终关心的是数据要安全,不要被黑客窃取走,业务不要中断。所以做企业安全,最终还是要对这个结果负责。如果我们无法承诺永远都不出一起安全事件,那么,把时间纬度拉长的话,至少也应该承诺整个安全的风险是趋于收敛的。事实上,我们也观察到,随着企业业务的做大,原来小概率的安全事件,逐渐变成了常态。至此,也就可以开始量化安全效果的指标。(所以我们经常还有个玩笑,就是如果你没有出过安全问题,说明你的业务做的不够大。)

对于安全效果来说,有两个指标是最关键的核心指标,一个是漏洞数,一个是安全事件数。在阿里内部,我们通过这两个指标来衡量安全做的好还是不好。从长远的角度来说,这两个指标要趋于收敛,这也是安全团队,或者说CSO要承担的职责。

有意思的是这两个事关一家企业生死的安全指标,却没有一个安全厂商愿意承诺,他们通常都只愿意承诺卖出设备的功能效果,或者是服务的响应时间。

定义出这两个反映安全效果的核心指标后,我们马上又会面临一个新的问题:如何证明这两个指标是可靠、有效的?

也就是说,作为CSO,可以说自己做了很多事情,花了很多钱,让漏洞数和安全事件逐渐趋于收敛,但是安全事件数和运气有关(包括黑暗森林法则),漏洞数则基于发现能力,如果发现能力弱,则漏洞数这个指标也说明不了什么问题。所以有必要找到一把标准的尺子,来作为衡量标准。

正是基于这样的思想与考虑,在阿里内部发展出了基于「红蓝军对抗」思想来检验安全能力与效果的方法。

目前看来,最有效的检验手段,是通过众测服务,以及外部安全情报收集,比如各大公司所组建的应急响应中心(SRC)。通过向安全社区寻求帮助,对白帽子提供有偿奖励的方式,让他们从外部提交漏洞。

众测的效果往往令人惊叹,发现的漏洞数量和质量可能是一次传统渗透测试的几十倍。而白帽子一拥而上的效果,往往也模拟了实际网络中面向众多黑客的场景。而我们所要做的,是保证好众测本身的安全性,不出什么意外,以及长期有效的运营这种社区关系。

也因此,基于「红蓝军对抗」的思路,我们整理出了三个重要的指标,作为我们衡量一家企业安全能力强弱、效果好坏的效果。第一个是通过众测与SRC,获得的外部上报漏洞数量,这是红军;第二个是,我们安全体系中的感知系统,所能感知到的漏洞与攻击数量,与前一个指标是一一对应关系;第三个是,我们安全体系中的防御系统,所能有效防御住的漏洞与攻击数量,与前两个指标分别一一对应。

cyber

企业安全的预算指导?

通过对这三个指标的逐步收敛,就能够有效的指导我们所有的安全工作。也由此,我们就知道一个企业的安全预算应该如何做,应该把钱花到哪儿。

根据我们的经验,一个企业在安全方面的预算,应该等分成三部分(根据实际情况和不同阶段动态调整):1/3投入到外部情报收集,这是来自外部的红军,包括众测和SRC的建设;1/3投入到安全感知系统建设,只有先看到,才能实施有效防御(特别是防御能力往往会落后于感知能力,所以要解耦);1/3投入到防御系统的建设。

可以看到,我们在蓝军投入了2/3的预算,来加强自身的安全能力。而通过不断的周期性的对红军投入,来验证自身安全能力的强弱与可靠性。基于这样的思路,风险就逐渐收敛了。

阿里云云盾能为你做什么?

(四月份深圳云栖大会演讲部分摘要)

整个互联网面临的形势正在急剧恶化。据我们掌握的情报,今天整个公民信息泄露的条数已经超过了一百亿条,一个黑客手上能掌握超过一百亿条公民信息是非常可怕的,这里面来自各个不同的数据库,这些数据最终会流向黑色产业。要知道,这个黑色产业市值预估是非常高的。因为黑客知道你叫什么、住什么地方、知道你所有的朋友关系,黑客也在用大数据。

         如何与这些黑客赛跑?我们主要基于对安全数据的理解和阿里云强大的计算能力。

         刚才讲了今天有超过30%网站在云上,所以整个互联网上任何风吹草动都是第一时间知道的。

         举个例子:

         去年11月份,我们当时发现阿里云上超过一千台服务器连接一个韩国的IP。我们分析之后发现一个黑客上传了木马,通过一个弱口令进来的,发现这个问题之后马上对阿里云上所有的服务器进行了紧急的升级和控网,这种情报是非常讲究时效性的,如果晚一周知道,黑客感染的就不是一千台服务器而是一万台服务器了。

        实现这一切的是阿里云云盾大数据安全分析系统下的MaxComputeODPS)。

        阿里云说,计算,为了无法计算的价值。为什么计算非常重要?

        因为计算能做到过去我们做不了的事情。

        再举个例子:

        今天,阿里云是世界上唯一一家能够在防火墙里面拉黑超过一百万IP黑名单的waf。去年双11淘宝、天猫零点峰值的时候,我们拉黑了一百万IP,从而保证了双十一的正常运行。为什么我们能做到一下在一个产品里面黑掉一百万IP,因为我们具有强大的弹性和扩展能力,如果我们还停留在卖设备的思路上,单机CPU内存是固定的,是不可能做到在计算能力上面有弹性和扩展性的。

        最后,还是想打一个小广告:马总说过,如果今天有人创业,首先应该想到是去怎么利用BAT的资源。对我们来说,安全行业的创业者也许更应该考虑的是,如何利用阿里云?

       我这里可以分享一个案例。有一家企业是帮游戏厂商做DDoS防御的,起初看这与云盾业务有冲突,但是后来我们将他发展成为对游戏细分领域提供服务的战略合作。合作达成后,通过我们的平台,他极大地释放了自己的能力。

        很多人问我,阿里云安全的态度到底是什么?实际上,我们想要做的一直没有变,就是如何更好的帮助客户。

【原文:如何衡量企业安全的效果  作者:道哥刺  安全脉搏整理发布】

本文作者:SP小编

本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/45948.html

Tags:
评论  (0)
快来写下你的想法吧!

SP小编

文章数:209 积分: 25

交流和分享以及愉快的玩耍

安全问答社区

安全问答社区

脉搏官方公众号

脉搏公众号